US-CERT emite alerta sobre ataques DDoS amplificados em protocolos UDP

us eagleO US-CERT (United States Computer Emergency Readiness Team), organização  responsável por proteger a infra-estrutura da Internet norte americana, compilou um  alerta sobre os ataques DRDoS – ataques refletidos de negação de  serviço –  baseados em amplificação no protocolo UDP.

Estes ataques se baseiam na utilização de servidores UDP acessíveis ao público  usando o  fator de amplificação de banda para sobrecarregar um sistema com tráfego  UDP. Um fator de amplificação acontece quando um único pacote pode gerar  respostas dezenas ou centenas de vezes maiores. Dentre os protocolos potenciais  para ataques, estão: DNS, NTP, SNMPv2, NetBIOS,  SSDP, CharGEN, QOTD,  BitTorrent, Kad,  Quake Network Protocol, Steam Protocol. Cada um com seu fator de  amplificação  listado no alerta.

Para detectar tais ataques, o CERT indica que seja feita uma análise de tráfego suspeito vindo de servidores da Internet. Já como um operador de rede de um desses serviços exploráveis, ele recomenda procurar por grandes respostas anormais a um determinado endereço IP.

Ainda afirma que, o primeiro passo para reduzir a eficácia deste tipo de ataque, é rejeitar todo o tráfego UDP com endereços falsos de provedores de serviços da Internet. Nos casos de servidores vulneráveis, é muito fácil forjar os dados do pacote para incluir um endereço IP de origem arbitrária e este é um dos principais problemas a serem resolvidos.

Confira o alerta aqui.